catauditlog
使用 catauditlog 命令可显示审计日志的内存中内容。
语法
>>- catauditlog --+----------+-- --+-----------------------+----> '- -nohdr -' '- -delim -- delimiter -' >-- --+-----------------------------------------+-- ----------->< '- -first -- number_of_entries_to_return -'
参数
- (可选)缺省情况下,将在简明样式视图中显示每个数据列的标题,在详细样式视图中显示每个数据项的标题。-nohdr 参数用于禁止显示这些标题。注: 如果没有要显示的数据,那么不会显示标题。
- (可选)缺省情况下,简明视图中的所有数据列都以空格分隔。每列的宽度设置为每个数据项可能的最大宽度。在详细视图中,每个数据项各占一行,如果显示标题,将用空格来分隔数据与标题。-delim 参数会覆盖此行为。-delim 参数的有效输入为一个单字节字符。如果在命令行中输入 -delim :,那么在简明视图中将用冒号字符 (:) 分隔所有数据项;例如,不会出现列间距。在详细视图中,数据与标题间以指定的定界符分隔。
- (可选)指定要显示的最近条目的数量。
描述
此命令会列出指定数量的最近审计的命令。
使用此命令可显示内存中审计日志。 使用 dumpauditlog 命令手动将内存中审计日志的内容转储到当前配置节点上的文件,并且清除内存中审计日志的内容
审计日志的内存中部分保存大约 1 MB 的审计信息。根据命令文本大小和参数的数量,这相当于 1 MB 的记录或大约 6000 条命令。
内存中审计日志达到其最大容量后,该日志会立即写入配置节点上 /dumps/audit 目录的本地文件中。catauditlog 命令仅显示审计日志的内存中部分;审计日志的磁盘上部分为可读文本格式,无需任何特殊命令对其进行解码。
内存中日志条目会自动重置和清除,从而准备好开始累积新命令。 然后,可在以后某个日期分析审计日志的磁盘上部分。
带有 -prefix 参数(和 /dumps/audit 文件)的 lsdumps 命令可用于列出磁盘上的文件。
执行命令时,会将这些命令记录在内存中审计日志内。 内存中审计日志变满后,将自动转储到一个审计日志文件,然后将清空内存中审计日志。
调用示例
此示例列出最近的五个审计日志条目。
catauditlog -delim : -first 5
生成的输出:
audit_seq_no timestamp cluster_user challenge source_panel target_panel
ssh_ip_address result res_obj_id action_cmd
0 160313152255 superuser 7830619-2 7830619-2 0 0
satask restartservice -service tomcat
1 160313152303 superuser 01-2 01-1 9.174.187.11 0 0
satask chnodeled -on 01-1
2 160313152312 superuser 01-1 01-2 9.174.187.11 0 0
satask chnodeled -on 01-2
3 160313152314 superuser 01-1 01-1 9.174.187.11 0 0
satask chnodeled -on
4 160313152316 superuser 9.174.187.11 0 0
svctask chenclosure -managed yes 1
5 160313152349 superuser 9.174.187.11 0 0
svctask mkmdiskgrp -ext 256
6 160313152352 superuser 9.174.187.11 0 0
svctask mkarray -level raid5 -drive 3:4:5 0